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A. Problem und Ziel 

In letzter Zeit häufen sich die Angriffe auf Intemetseiten mittels sogenannter 
„Distributed-denial-of-service (DDos)“-Attacken, bei denen eine Vielzahl von in 
krimineller Absicht ausgelösten Anfragen, die an Webseiten gerichtet werden, 
dazu führen, dass diese vorübergehend unerreichbar sind. Zudem finden gezielte 
Cyberangriffe auf mit dem Internet verbundene Kritische Infrastrukturen, also 
Einrichtungen wie große Industrieanlagen, Elektrizitätswerke, Staudämme, Anla¬ 
gen der Wasserversorgung oder Telekommunikationsanlagen, statt, die diese be¬ 
schädigen, empfindlich stören oder unbrauchbar machen sollen. Die bekanntesten 
Fälle in jüngster Zeit waren die Internet-Angriffe auf den Deutschen Bundestag 
in 2015, auf ein deutsches Stahlwerk in 2014, bei dem ein Flochofen beschädigt 
wurde, sowie die Attacken auf den französischen Sender TV5 und die belgische 
Zeitung Le Soir in 2015. Die letzten beiden Begebenheiten zeigen, dass sich auch 
Terroristen dieses Mittels bedienen. 

Jüngst wurde erstmals eine Schadsoftware in einem deutschen Atomkraftwerk 
entdeckt 1 . 

Das massenhafte Auftreten von sogenannten „Erpressungs-Trojanern“ oder 
„Krypto-Trojanern“ — allein bei einer Variante wurden über 5 000 Neuinfektionen 
in Deutschland pro Stunde festgestellt 2 - verursacht große Schäden, auch die öf¬ 
fentliche Verwaltung und Kritische Infrastrukturen sind betroffen. 3 

Die Werkzeuge, mit denen Straftäter diese Flandlungen begehen, sind regelmäßig 
sogenannte „Botnetze“. Als ein Botnetz bezeichnet man eine große Anzahl von 
mit dem Internet ständig oder zeitweise verbundener informationstechnischer 


Vgl. http://www.spiegel.de/netzwelt/web/gmndremmingen-computervirus-im-atomkraft- 
werk-entdeckt-a-1 089248.html 

Vgl. http://www.heise.de/security/meldung/Krypto-Trojaner-Locky-wuetet-in-Deutschland- 
Ueber-5000-Infektionen-pro-Stunde-311 1774.html 

Vgl. http://www.heise.de/newsticker/meldung/Ransomware-Virus-legt-Krankenhaus-lahin- 
3100418.html 

http://www.t-online.de/computer/sicherheit/id_76362038/teslaciypt-erpresser-trojaner-legt- 

deutsche-behoerden-lahm.html 
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Systeme wie Computer oder Mobiltelefone, die - von ihrem rechtmäßigen Nutzer 
unbemerkt - mit Schadprogrammen infiltriert sind und daher einzeln oder in ihrer 
Gesamtheit einer fremden Kontrolle unterliegen. Große Botnetze umfassen meh¬ 
rere Millionen Opferrechner, die von dem jeweiligen sie kontrollierenden Täter 
einzeln oder zusammen ferngesteuert werden können. Botnetze sind auch Han¬ 
delswaren, die über kriminelle Märkte im Internet in Gänze oder in Teilen ver¬ 
kauft, verliehen oder vennietet werden. 

Die Infiltration der Opfersysteme geschieht auf unterschiedliche Weise. Neben 
dem Anklicken von Links in Spam-E-Mails oder dem Öffnen infizierter Dateian¬ 
hänge kann eine Infektion etwa auch dadurch erfolgen, dass der rechtmäßige Nut¬ 
zer mit seinem informationstechnischen System eine legitime Internetseite auf¬ 
sucht, die zuvor von den Tätern unerkannt präpariert wurde (sogenannte „drive- 
by infection“). Die Täter schleusen dabei einen Schadcode in die Webseite ein, 
der dazu führt, dass auf dem Opfersystem im Hintergrund heimlich Schadpro¬ 
gramme aufgespielt werden und er so zum „Bot“ (von englischen „robot“) wird, 
also zu einem durch Dritte unerkannt femsteuerbaren Zombie-Computer, dessen 
sämtliche Funktionen und Daten nunmehr ebenjenem Dritten, der ihn infiziert 
hat, offenstehen. 

Gegen diese Art der Infektion kann sich auch der aufmerksame Computernutzer 
kaum zur Wehr setzen. Zurzeit geht man davon aus, dass bis zu 40 Prozent aller 
intemetfahigen informationstechnischen Systeme in Deutschland mit Schadsoft¬ 
ware verseucht sind und damit potentielle Bots darstellen. 

Die Gefahren von Botnetzen liegen aber nicht nur in ihrem möglichen Einsatz zur 
Durchführung von DDos-Attacken. Sie stellen gleichzeitig eine der wichtigsten 
Täterinfrastrukturen im Bereich der Cyberkriminalität dar. Sie werden genutzt 
zum Versenden von Spam-Emails, zur Begehung von Betrug im Onlinebanking 
oder zur Verschleierung des Standortes von Servern mit kriminellen Inhalten. 

Ferner können die infiltrierten Opfersysteme als Anonymisierungswerkzeuge ver¬ 
wendet werden. Die Täter können mit ihrer Hilfe unerkannt Intemetdienste nutzen 
und kommunizieren. Durch diese Art der Verwendung erlangen infiltrierte Opfer¬ 
systeme eine erhebliche Bedeutung für Kriminelle auch außerhalb des Phänomen¬ 
bereichs Cybercrime. 

Darüber hinaus ist die Kontrolle über die Bots durch den Täter, also die infizierten 
Opfersysteme, vollständig, d. h. sämtliche auf der Festplatte gespeicherten oder 
im Arbeitsspeicher befindlichen Daten des legitimen Benutzers stehen den Tätern 
offen; sie können diese beliebig ausspähen oder kopieren. Gleiches gilt für Daten, 
die der Nutzer extern, etwa bei Clouddiensten, gespeichert hat, denn die Täter 
können ihren Zugriff auch auf alle mit dem infiltrierten System verbundenen Sys¬ 
teme ausdehnen. 

In strafrechtlicher Hinsicht eröffnet die umfassende Vernetzung unterschiedlicher 
IT-Systeme wie etwa Produktionsanlagen, Marketing, Vertrieb und Einkauf, die 
gemeinhin mit dem Begriff „Industrie 4.0“ bezeichnet wird, neue Angriffsflächen 
für kriminelle Aktivitäten in einem bisher nie dagewesenen Ausmaß. Es werden 
IT-Systeme angreifbar, die bislang aus dem Internet nicht erreichbar waren. 
Dadurch vergrößert sich das Risiko existenzgefährdender Situationen durch Aus¬ 
fall oder Fehlfunktion von Produktions- oder Geschäftsprozessen erheblich. 

Welches Ausmaß die heimliche Infiltration der Bürger durch international agie¬ 
rende Straftäter hat, wurde im Jahre 2014 offenbar, als im Rahmen von Botnet- 
zermittlungen über 14 Millionen ausgespähte Datensätze aufgefunden wurden. 

Weiterhin kann der gesamte Intemetverkehr der Opfer durch die Straftäter abge¬ 
hört und manipuliert werden. Auch die Computerhardware des Opfersystems 
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kann unbeschränkt ferngesteuert werden, so können z. B. Webcam oder Mikrofon 
unbemerkt eingeschaltet werden, um aus den Räumen der Opfer heimlich Videos 
und Töne zu übertragen. Damit wird der heimische Laptop oder das Mobiltelefon 
zu einem machtvollen Ausspähwerkzeug in den Händen international agierender 
Cyberkrimineller. 

Hierdurch ist die Integrität und Vertraulichkeit des infiltrierten infonnationstech¬ 
nischen Systems vollständig aufgehoben, ohne dass der legitime Benutzer es be¬ 
merkt. Weitreichende Rückschlüsse auf seine Persönlichkeit bis in den Kembe- 
reich höchstpersönlicher Lebensgestaltung sind möglich. Heutige Smartphones 
spiegeln häufig nahezu die gesamten privaten und z. T. auch die geschäftlichen 
oder beruflichen Aktivitäten ihrer Benutzer wider. Die Bedeutung mobiler IT- 
Systeme wird weiter wachsen, sie dienen zunehmend als Mittel zur Bezahlung 
von Waren und Dienstleistungen. Schon jetzt wird prognostiziert, dass mobile IT- 
Systeme Zahlungskarten in diesem Bereich in ihrer Bedeutung überholen werden. 

Es ist gegenwärtig kaum absehbar, welche Anwendungen in der Zukunft noch 
möglich werden. 

Das Bundesverfassungsgericht hat bereits 2007 in seiner wegweisenden Entschei¬ 
dung zum Grundrecht auf die Gewährleistung der Vertraulichkeit und Integrität 
informationstechnischer Systeme (Artikel 2 Absatz 1 i. V. m. Artikel 1 Absatz 1 
des Grundgesetzes, vgl. 1 BvR 370/07, 1 BvR 595/07) die bestehenden Gefahren 
für die Bürger dargestellt. Zutreffend hat das Bundesverfassungsgericht zudem 
festgestellt, dass informationstechnische Systeme allgegenwärtig sind und ihre 
Nutzung für die Lebensführung vieler Bürger von zentraler Bedeutung ist. Die 
Relevanz der Infonnationstechnik für die Lebensgestaltung des Einzelnen er¬ 
schöpft sich nicht in der größeren Verbreitung und Leistungsfähigkeit von Perso¬ 
nalcomputern. Daneben enthalten zahlreiche Gegenstände, mit denen große Teile 
der Bevölkerung alltäglich umgehen, informationstechnische Komponenten. So 
liegt es beispielsweise zunehmend bei Telekommunikationsgeräten oder elektro¬ 
nischen Geräten, die in Wohnungen oder Kraftfahrzeugen enthalten sind (BVerfG 
a. a. O.). Weiter führt das BVerfG aus: 

„Der Einzelne kann [...] Zugriffe zum Teil gar nicht wahrnehmen, jedenfalls aber 
nur begrenzt abwehren. Informationstechnische Systeme haben mittlerweile einen 
derart hohen Komplexitätsgrad erreicht, dass ein wirkungsvoller sozialer oder 
technischer Selbstschutz erhebliche Schwierigkeiten aufwerfen und zumindest 
den durchschnittlichen Nutzer überfordem kann. Ein technischer Selbstschutz 
kann zudem mit einem hohen Aufwand oder mit Funktionseinbußen des geschütz¬ 
ten Systems verbunden sein. Viele Selbstschutzmöglichkeiten - etwa die Ver¬ 
schlüsselung oder die Verschleierung sensibler Daten - werden überdies weitge¬ 
hend wirkungslos, wenn Dritten die Infiltration des Systems, auf dem die Daten 
abgelegt worden sind, einmal gelungen ist. Schließlich kann angesichts der Ge¬ 
schwindigkeit der informationstechnischen Entwicklung nicht zuverlässig prog¬ 
nostiziert werden, welche Möglichkeiten dem Nutzer in Zukunft verbleiben, sich 
technisch selbst zu schützen.“ 

Es ist daher die Aufgabe auch des Strafrechts, den lückenlosen Schutz des bedeut¬ 
samen Grundrechts auf die Gewährleistung der Vertraulichkeit und Integrität in¬ 
formationstechnischer Systeme sicherzustellen. 

Der strafrechtliche Schutz der Integrität und Vertraulichkeit von informations¬ 
technischen Systemen wird im Kernstrafrecht derzeit im Wesentlichen durch die 
§§ 202a, 303a und 303b StGB gewährt. 

Dieser Schutz ist indes lückenhaft. 
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So betrifft § 202a StGB nur das Ausspähen solcher Daten, die durch eine beson¬ 
dere Zugangssicherung geschützt sind. Zudem greift diese Norm nur dann ein, 
wenn der Täter unter Überwindung der Zugangssicherung handelt. Das bedeutet, 
dass derzeit die Frage, ob der strafrechtliche Schutz eines informationstechni¬ 
schen Systems gegeben ist oder nicht, allein auf den Schultern der Opfer ruht. 

Aber selbst wenn eine Zugangssicherung aktiviert ist, sind die Schutzlücken er¬ 
heblich. 

Fallbeispiel: 

Das Opfer befindet sich im öffentlichen Raum, z. B. in einem Zug. Um zu telefo¬ 
nieren, gibt es den PIN-Code zur Entsperrung seines Smartphones ein. Der Täter 
beobachtet das und merkt sich die PIN. Anschließend, nachdem das Opfer sein 
Smartphone wieder eingesteckt hat, gelingt es dem Täter, das Gerät — vom Opfer 
unbemerkt - an sich zu bringen und es mittels des PIN-Codes zu entsperren, um 
anschließend private oder auch geschäftliche Daten auszulesen oder Fotos zu be¬ 
trachten. Danach steckt der Täter das Smartphone zurück in die Tasche des Op¬ 
fers. 

Die mit der Fland eingegebene PIN ist kein taugliches Tatobjekt i. S. v. § 202a 
Absatz 2 StGB, so dass das Beobachten der Eingabe nicht strafbar ist. Der an¬ 
schließende Einsatz der beobachteten Zahlenkombination durch den Täter hebt 
bestimmungsgemäß den entsprechenden Zugangsschutz auf, so dass es am „Über¬ 
winden“ der Zugangssicherung fehlt. Eine Überwindung i. S. v. § 202a Absatz 1 
StGB soll nämlich dann nicht gegeben sein, wenn nur noch ein unerheblicher 
technischer oder zeitlicher Aufwand erforderlich ist 4 . 

Ergebnis: Der Täter ist im Kernstrafrecht gegenwärtig straflos 5 . 

Auch in den Fällen, in denen Täter unabhängig voneinander Vorgehen, also ohne 
dass die Voraussetzungen des § 25 Absatz 2, der §§ 26 oder 27 StGB vorliegen, 
ist die Straflosigkeit der Datenausspähung nach § 202a StGB gegeben. Dies ist z. 
B. dann gegeben, wenn ein allein handelnder Täter massenhaft Opfersysteme in¬ 
fiziert, um den Zugriff auf die infiltrierten Systeme anschließend über anonyme 
Internet-Handelsplattformen an ihm nicht bekannte Personen zu verkaufen. Kauft 
ein Dritter den Zugriff auf ein infiltriertes informationstechnisches System an und 
späht sodann die dort gespeicherten Daten aus, handelt er nicht unter Überwin¬ 
dung einer Zugangssicherung und ist nicht gemäß § 202a StGB bestrafbar 6 . 

Die zunehmende Steigerung der Effektivität von Schadprogrammen und das Auf¬ 
treten von sogenannter „fileless malware“, also Schadsoftware, die keine Verän¬ 
derungen an gespeicherten Daten herbeiführt 7 , führen dazu, dass auch der Schutz 
durch § 303a StGB lückenhaft ist. Die Strafbarkeit nach dieser Norm setzt voraus, 
dass der Täter auf dem betroffenen informationstechnischen System gespeicherte 
Daten im Sinne von § 202a StGB löscht, verändert etc. Die Infiltration informati¬ 
onstechnischer Systeme ist heutzutage jedoch auch ohne die Veränderung von 


Vgl. Hilgendorf in: Leipziger Komm, zum StGB, 12. Aufl. 2010 , § 202a Rn. 36 (str.). 

Str., vgl. Graf NStZ 2007, 129, 131, der auch für den Fall des als das Hinterlassen des Passwortes 
am Arbeitsplatz für den Administrator, der nach Dienstschluss den Rechner für den Arbeitnehmer 
an dessen Bedürfnisse anpassen will, und welches nun stattdessen der hierzu nicht befugte Kollege 
auffmdet, es liest und dann auch benutzt zum gleichen Ergebnis gelangt. 

Vgl. Roos/Schumacher MMR 2014, 377, 380 f. 

Vgl. http://www.mcafee.com/us/resources/solution-briefs/sb-quarterly-threats-nov-20 15-1 .pdf; 

http://blog.trendmicro.com/trendlabs-security-intelligence/without-a-trace-frleless-malware-spot- 

ted-in-the-wild/ 
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gespeicherten Daten möglich. Neben dem Einsatz von „fileless malware“ kann 
dies z. B. durch sogenannten Hardwaretrojaner 8 geschehen. 

§ 303b StGB ist in seiner derzeitigen Fassung ebenfalls nicht geeignet, infonna¬ 
tionstechnische Systeme und insbesondere das Internet der Dinge wirksam vor 
Cyberangriffen zu schützen. Die Norm greift z. B. nicht bei intemetgekoppelten 
Haushaltsgeräten oder bei ausschließlich privat genutzten Systemen, welche den 
überwiegenden Teil der angegriffenen Systeme darstellen. 

Zwar fallt die Durchfühmng von DDoS-Attacken unter den Tatbestand des § 303b 
StGB, jedoch wird jeder sonstige Eingriff, der nicht mit einer Störung der Daten¬ 
verarbeitung einhergeht, nicht erfasst. 

Abgesehen von den Schutzlücken auf der Ebene der objektiven Tatbestände wird 
die Lückenhaftigkeit des strafrechtlichen Schutzes der genannten Normen 
dadurch vertieft, dass ihr Vorliegen unter den heute gegebenen technischen Rah¬ 
menbedingungen regelmäßig nicht nachweisbar ist. Häufig löschen sich Schad¬ 
programme nach ihrem Einsatz oder bei ihrer Entdeckung selbsttätig 9 , so dass 
selbst bei einer computerforensischen Auswertung des betroffenen informations¬ 
technischen Systems im Nachhinein ein Tatnachweis nicht zu führen ist. 

B.Lösung 

Zur Erreichung eines angemessenen Schutzniveaus für die Vertraulichkeit und 
Integrität informationstechnischer Systeme sollen die Rechtsgedanken des § 123 
StGB und des § 248b StGB in die digitale Welt übertragen und ein neuer § 202e 
StGB geschaffen werden. Mit der neuen Vorschrift soll die unbefugte Benutzung 
informationstechnischer Systeme unter Strafe gestellt werden. IT-Systeme sind 
mindestens ebenso schutzwürdig wie das Hausrecht und wie das ausschließliche 
Benutzungsrecht an Fahrzeugen. Derzeit sind sogar Fahrräder besser geschützt als 
Computer mit höchstpersönlichen Daten. Die Gefahr für die Allgemeinheit, die 
von unbefugt genutzten informationstechnischen Systemen ausgeht, ist, wie oben 
dargelegt, hoch. 

Damit kann ein lückenloser strafrechtlicher Schutz aller Systeme und die Straf¬ 
barkeit nahezu aller Angriffsarten sichergestellt werden, denn die Infiltration von 
Computern und Cyberangriffe jeder Art beinhalten als Teilkomponente regelmä¬ 
ßig die Fernsteuerung, also das Beeinflussen oder Auslösen von informationstech¬ 
nischen Vorgängen durch Dritte. 

Die Formuliemng des § 202e StGB-E ist technikoffen, was zu einer guten prakti¬ 
schen Handhabbarkeit führen und Beweis- und Abgrenzungsschwierigkeiten ver¬ 
meiden soll. Technische Zufälle in der Konfiguration der Opfersysteme sollen zu¬ 
künftig keine Rolle mehr spielen. 


C. Alternativen 

Keine. 


Vgl. http://www.heise.de/newsticker/meldung/32C3-Hardware-Trojaner-als-unterschaetzte-Gefahr- 
3056452.html 

Vgl. http://www.heise.de/security/meldung/Rombertik-Der-Viras-der-verbrannten-Erde- 
2633009.html 
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D. Haushaltsausgaben ohne Erfüllungsaufwand 

Keine. 

E. Erfüllungsaufwand 

E.1 Erfüllungsaufwand für Bürgerinnen und Bürger 

Für die Bürgerinnen und Bürger entsteht oder entfallt kein Erfüllungsaufwand. 

E.2 Erfüllungsaufwand für die Wirtschaft 

Für die Wirtschaft entsteht oder entfallt kein Erfüllungsaufwand. 

Davon Bürokratiekosten aus Informationspflichten: 

Keine. 

E. 3 Erfüllungsaufwand der Verwaltung 

Aufgrund der Ausdehnung des deutschen Strafrechts ist zu erwarten, dass die An¬ 
zahl der Strafverfahren in einem begrenzten Ausmaß zunimmt. Dies kann zu nicht 
näher quantifizierbaren Flaushaltsmehrausgaben bei den für die Durchführung 
von Strafverfahren primär zuständigen Strafverfolgungsbehörden der Länder füh¬ 
ren. Im Zuständigkeitsbereich des Bundes anfallende Flaushaltsmehrausgaben 
sind allenfalls in geringem Umfang zu erwarten. 

Der Mehraufwand bei den Strafverfolgungs- und Vollstreckungsbehörden ist je¬ 
doch angesichts der bestehenden Strafbarkeitslücken gerechtfertigt. Zudem wür¬ 
den, soweit durch die - mit der Regelung ermöglichte — konsequente Strafverfol¬ 
gung eine abschreckende Wirkung erreicht wird, Kosten sowie Folgekosten aus 
Schäden durch Cyberangriffe eingespart. 

F. Weitere Kosten 

Den Bürgerinnen und Bürgern sowie der Wirtschaft entstehen keine sonstigen 
Kosten. Auswirkungen auf das Preisniveau, insbesondere auf das Verbraucher¬ 
preisniveau, sind nicht zu erwarten. 
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Bundesrepublik Deutschland 
Die Bundeskanzlerin 


Berlin, 18. April 2018 


An den 

Präsidenten des 
Deutschen Bundestages 
Herrn Dr. Wolfgang Schäuble 
Platz der Republik 1 
11011 Berlin 


Sehr geehrter Herr Präsident, 

hiermit übersende ich gemäß Artikel 76 Absatz 3 des Grundgesetzes den vom Bun¬ 
desrat in seiner 965. Sitzung am 2. März 2018 beschlossenen 

Entwurf eines ... Strafrechtsänderungsgesetzes - Strafbarkeit der 
unbefugten Benutzung informationstechnischer Systeme - 
Digitaler Hausfriedensbruch 

mit Begründung und Vorblatt (Anlage 1). 

Ich bitte, die Beschlussfassung des Deutschen Bundestages herbeizuführen. 

Federführend ist das Bundesministerium der Justiz und für Verbraucherschutz. 

Die Auffassung der Bundesregierung zu dem Gesetzentwurf ist in der als Anlage 2 
beigefügten Stellungnahme dargelegt. 

Mit freundlichen Grüßen 


Dr. Angela Merkel 
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Anlage 1 

Entwurf eines ... Strafrechtsänderungsgesetzes - Strafbarkeit der 
unbefugten Benutzung informationstechnischer Systeme- 
Digitaler Hausfriedensbruch 

Vom ... 

Der Bundestag hat das folgende Gesetz beschlossen: 

Artikel 1 

Änderung des Strafgesetzbuches 

Das Strafgesetzbuch in der Fassung der Bekanntmachung vom 13. November 1998 (BGBl. I S. 3322), das 
zuletzt durch ... geändert worden ist, wird wie folgt geändert: 

1. In der Inhaltsübersicht wird nach der Angabe zu § 202d folgende Angabe eingefügt: 

„§ 202e Unbefugte Benutzung informationstechnischer Systeme“ 

2. Nach § 202d wird folgender § 202e eingefügt: 

„§ 202e 

Unbefugte Benutzung informationstechnischer Systeme 

(1) Wer unbefugt 

1. sich oder einem Dritten den Zugang zu einem informationstechnischen System verschafft, 

2. ein informationstechnisches System in Gebrauch nimmt oder 

3. einen Datenverarbeitungsvorgang oder einen informationstechnischen Ablauf auf einem informations¬ 
technischen System beeinflusst oder in Gang setzt, 

wird mit Geldstrafe oder Freiheitsstrafe bis zu einem Jahr bestraft, wenn die Tat nicht in anderen Vorschriften 
mit schwererer Strafe bedroht ist. Die Tat nach Satz 1 ist nur strafbar, wenn sie geeignet ist, berechtigte 
Interessen eines anderen zu beeinträchtigen. 

(2) Mit Geldstrafe oder Freiheitsstrafe bis zu fünf Jahren wird bestraft, wer eine in Absatz 1 bezeich- 
nete Flandlung 

1. gegen Entgelt oder 

2. in der Absicht, sich oder einen Dritten zu bereichern oder einen Dritten zu schädigen, 
begeht, wenn die Tat nicht in anderen Vorschriften mit schwererer Strafe bedroht ist. 

(3) In besonders schweren Fällen ist die Strafe Freiheitsstrafe von sechs Monaten bis zu zehn Jahren. 
Ein besonders schwerer Fall liegt in der Regel vor, wenn der Täter 

1. gewerbsmäßig oder als Mitglied einer Bande handelt, die sich zur fortgesetzten Begehung von Strafta¬ 
ten unter Nutzung von informationstechnischen Systemen verbunden hat, 

2. den Zugang zu einer großen Anzahl von infonnationstechnischen Systemen verschafft oder eine große 
Anzahl von informationstechnischen Systemen in Gebrauch nimmt oder eine große Anzahl von Daten¬ 
verarbeitungsvorgängen oder informationstechnischen Abläufen beeinflusst oder in Gang setzt oder 
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3. in der Absicht handelt, 

a) eine Gefahr für die öffentliche Sicherheit, 

b) eine gemeingefährliche Straftat oder 

c) eine besonders schwere Straftat gegen die Umwelt nach § 330 herbeizuführen oder zu ermögli¬ 
chen. 

(4) Handelt der Täter in der Absicht, einen Ausfall oder eine Beeinträchtigung der Funktionsfähigkeit 
kritischer Infrastrukturen zu bewirken, so ist die Strafe Freiheitsstrafe von einem Jahr bis zu zehn Jahren. 

(5) Der Versuch ist strafbar. 

(6) Im Sinne dieser Vorschrift ist 

1. informationstechnisches System 

nur ein solches, das 

a) zur Verarbeitung personenbezogener Daten geeignet oder bestimmt ist oder 

b) Teil einer Einrichtung oder Anlage ist, die wirtschaftlichen, öffentlichen, wissenschaftlichen, 
künstlerischen, gemeinnützigen oder sportlichen Zwecken dient oder die den Bereichen Energie, 
Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung, Versorgung, Haus¬ 
technik oder Haushaltstechnik angehört; 

2. kritische Infrastruktur 

eine Einrichtung, Anlage oder Teile davon, die 

a) den Bereichen Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Ge¬ 
sundheit, Wasser, Ernährung oder Finanz- und Versicherungswesen angehören und 

b) von hoher Bedeutung für das Funktionieren des Gemeinwesens sind, weil durch ihren Ausfall oder 
ihre Beeinträchtigung ein erheblicher Versorgungsengpass oder eine Gefährdung für die öffentli¬ 
che Sicherheit eintreten würde. 

(7) Ist in den Fällen des Absatzes 1 und 2 ein Angehöriger, der Vormund oder der Betreuer verletzt 
oder lebt der Verletzte mit dem Täter in häuslicher Gemeinschaft, so wird die Tat nur auf Antrag verfolgt.“ 

3. In § 205 Absatz 1 Satz 2 wird die Angabe „202b und 202d“ durch die Wörter „202b, 202d und 202e Absatz 1 
und 2“ ersetzt. 


Artikel 2 

Änderung der Strafprozessordnung 

Nach § 374 Absatz 1 Nummer 3 der Strafprozessordnung in der Fassung der Bekanntmachung vom 7. April 
1987 (BGBl. I S. 1074, 1319), die zuletzt durch ... geändert worden ist, wird folgende Nummer 3a eingefügt: 

„3a. eine unbefugte Benutzung informationstechnischer Systeme (§ 202e Absatz 1 und 2 des Strafgesetzbu¬ 
ches),“ 


Artikel 3 
Inkrafttreten 


Dieses Gesetz tritt am Tag nach der Verkündung in Kraft. 
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Begründung 


A. Allgemeiner Teil 


I. Zielsetzung und Notwendigkeit der Regelungen 

Die immer stärkere Verbreitung und Nutzung von Informations- und Kommunikationstechnologien, insbesondere 
die Nutzung des Internets, wirken sich unmittelbar auf alle Bereiche der Gesellschaft aus. Die Einbeziehung von 
Telekommunikations- und Informationssystemen, die eine entfemungsunabhängige Speicherung und Übertra¬ 
gung von Daten aller Art gestatten, bietet ein breites Spektrum neuer Möglichkeiten, aber auch des Missbrauchs. 

Mit dem Einundvierzigsten Strafrechtsänderungsgesetz zur Bekämpfung der Computerkriminalität (41. StrÄndG) 
vom 7. August 2007 (BGBl. I S. 1786), mit welchem der deutsche Gesetzgeber dem aus dem Übereinkommen 
des Europarates über Computerkriminalität vom 23. November 2001 (Cybercrime Convention) sowie dem aus 
dem Rahmenbeschluss 2005/222/JI des Rates vom 24. Februar 2005 über Angriffe auf Informationssysteme re¬ 
sultierenden Umsetzungsbedarf nachgekommen ist, und mit der Einführung des Straftatbestandes der Datenheh¬ 
lerei durch das Gesetz zur Einführung einer Speicherpflicht und einer Höchstspeicherfrist für Verkehrsdaten vom 
10. Dezember 2015 wurden zuletzt Regelungen getroffen, um den Missbrauch der Informationstechnologie zu 
bekämpfen. 

Diese genügen jedoch nicht, da die strafrechtliche Praxis gezeigt hat, dass die fortschreitende technische Entwick¬ 
lung weiterhin zu spürbaren Strafbarkeitslücken führt. 

Das Bundesverfassungsgericht hat in seinem Urteil zur Online-Durchsuchung vom 27. Februar 2008 als beson¬ 
dere Ausprägung des allgemeinen Persönlichkeitsrechts (Artikel 2 Absatz 1 i. V. m. Artikel 1 Absatz 1 des Grund¬ 
gesetzes) das „Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität infonnationstechnischer Sys¬ 
teme“ postuliert. Damit ist dem Regelungsanliegen, IT-Systeme vor dem unbefugten Zugriff Dritter zu schützen, 
grundrechtliche Relevanz beizumessen (vgl. BVerfGE 120, 274 ff.). 

Durch das Phänomen der schadsoftwaregestützten Existenz großer - teilweise weltumspannender - Botnetze wird 
dieses Grundrecht massenhaft verletzt. 

Derzeit können im Kemstrafrecht zur Bekämpfung der Botnetzkriminalität vor allem die §§ 202a, 303a und 303b 
StGB herangezogen werden. 

Diese Normen zielen indes nicht unmittelbar auf den Schutz der Vertraulichkeit und Integrität von informations¬ 
technischer Systemen ab. § 202a StGB und § 303a StGB schützen lediglich Daten, nicht aber das technische Sys¬ 
tem. § 303b StGB bezweckt zwar grundsätzlich den Schutz von Systemen. Für einen wirksamen Rechtsgüter¬ 
schutz genügt es jedoch nicht, lediglich auf das Interesse des Verfügungsberechtigten an der unversehrten Ver¬ 
wendbarkeit von Daten oder auf das Interesse der Betreiber und Nutzer am störungsfreien Funktionieren ihrer 
Datenverarbeitung — so der Schutzzweck des § 303b StGB - abzustellen. Schon das Interesse der rechtmäßigen 
Nutzer von Computern, Laptops und Smartphones an dem ausschließlichen Gebrauchsrecht ihrer Geräte, unab¬ 
hängig davon, ob ihre Daten beeinträchtigt werden oder sich Störungen im Funktionieren der Geräte zeigen, ist 
schützenswert. Wie der § 248b StGB zeigt, ist es der Systematik des Strafgesetzbuches nicht fremd, auch das 
schlichte Gebrauchsrecht an Sachen einem strafrechtlichen Schutz zu unterstellen. 

In diesem Zusammenhang kann ein wirksamer Rechtsgüterschutz nicht davon abhängen, dass die Grundrechts¬ 
träger gehalten sind, für den Schutz ihrer IT-Systeme selbst zu sorgen. Wie das Bundesverfassungsgericht darge¬ 
legt hat, ist dies heutzutage bereits technisch kaum möglich (vgl. BVerfG, a. a. O.). 

Ziel des Gesetzentwurfes soll es vor diesem Hintergrund sein, Artikel 2 des Budapester Übereinkommens über 
Computerkriminalität vom 23. November 2001 (BGBl. 2008 II S. 1242, „Convention on Cybercrime“) vollstän¬ 
dig umzusetzen. 
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Dieser lautet: 

„Artikel 2 - Rechtswidriger Zugang 

Jede Vertragspartei trifft die erforderlichen gesetzgeberischen und anderen Maßnahmen, um den unbefugten Zu¬ 
gang zu einem Computersystem als Ganzem oder zu einem Teil davon, wenn vorsätzlich begangen, nach ihrem 
innerstaatlichen Recht als Straftat zu umschreiben. 

Eine Vertragspartei kann als Voraussetzung vorsehen, dass die Straftat unter Verletzung von Sicherheitsmaßnah¬ 
men, in der Absicht, Computerdaten zu erlangen, in anderer unredlicher Absicht oder in Zusammenhang mit 
einem Computersystem, das mit einem anderen Computersystem verbunden ist, begangen worden sein muss.“ 

Diese Vorschrift ist durch § 202a StGB nur sehr eingeschränkt in das innerstaatliche Recht umgesetzt worden. 
Der damalige Bundesgesetzgeber hat von der Möglichkeit des Satzes 2 Gebrauch gemacht und als Voraussetzung 
für eine Strafbarkeit vorgesehen, dass die Straftat subjektiv auf Daten bezogen, objektiv unter Verletzung von 
Sicherheitsmaßnahmen begangen worden sein muss und nur solche Daten geschützt sind, die besonders gesichert 
sind. Der Gesetzgeber war damals der Auffassung, vor allem der letztgenannten Einschränkung auf solche Daten, 
die gegen unberechtigten Zugang besonders gesichert sind, komme eine besondere Bedeutung für die Eingren¬ 
zung des Tatbestandes zu, um Bagatellfälle auszufiltem (vgl. BT-Drucksache 16/3656 vom 30. November 2006). 

Angesichts der heutigen arbeitsteiligen Vorgehensweise von Intemetkriminellen und im Lichte der zitierten Ent¬ 
scheidung des BVerfG, wonach ein wirkungsvoller technischer Selbstschutz der Berechtigten kaum möglich ist, 
sind diese Einschränkungen indes überholt und stehen einer effektiven Strafverfolgung und dem Schutz der Bür¬ 
ger entgegen. 

Eiinzu kommt, dass angesichts der wachsenden Bedeutung der IT-Wirtschaft ein lückenhafter strafrechtlicher 
Schutz ein Nachteil für den Wirtschaftsstandort Deutschland gegenüber den Staaten darstellt, die Artikel 2 der 
Konvention vollständig und ohne Einschränkungen umgesetzt haben. 

Es ist angezeigt, der ursprünglichen Intention der Konvention folgend, den unbefügten Zugang zu einem Compu¬ 
tersystem („digitaler Elausfriedensbruch“) und die dadurch eröffnete bloße Möglichkeit jedweden Datenzugriffs 
als Eingriff in das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Sys¬ 
teme unter Strafe zu stellen. Dem berechtigten Anliegen, Bagatellfälle auszuscheiden, wird durch die Bagatell- 
klausel und über die Ausgestaltung der Absätze 1 und 2 als Privatklagedelikt hinreichend Rechnung getragen. 

Eine jüngst ergangene Entscheidung des BGEI (vgl. Beschluss vom 21. Juli 2015, 1 StR 16/15) belegt eindrucks¬ 
voll die Lückenhaftigkeit des derzeitigen Rechtsgüterschutzes und das Leerlaufen von § 202a StGB selbst in gra¬ 
vierenden Fällen. Nach den Feststellungen des Landgerichts hatten die Angeklagten ein großes Botnetz aufgebaut 
und betrieben, das unter anderem der Erzeugung von Bitcoins, einer elektronischen Werteinheit, diente. Dazu 
nutzten die Angeklagten die Rechenleistung der von ihnen infiltrierten Opfersysteme aus. Das Gericht hatte in 
der Hauptverhandlung einen Sachverständigen des BKA zu den IT-technischen Fragen gehört und auf Grundlage 
seines Gutachtens, das auch schriftlich vorlag, die Funktionsweise der Schadsoftware in groben Zügen beschrie¬ 
ben. Der BGH hob die Verurteilungen mit folgender Begründung auf: 

„(...) Die Verurteilung wegen Ausspähens von Daten in Tateinheit mit Datenveränderung (...) hält rechtlicher 
Nachprüfung nicht stand; der Schuldspruch wird von den getroffenen Feststellungen nicht getragen. Die Feststel¬ 
lungen sind teilweise lückenhaft und weisen zudem einen inneren, auch durch den Gesamtzusammenhang der 
Urteilsgründe nicht auflösbaren Widerspruch auf. Sie belegen nicht hinreichend, dass der Angeklagte jeweils eine 
Zugangssichemng überwunden hat, die für die Erfüllung des Straftatbestands des § 202a Abs. 1 StGB erforderlich 
ist. Denn der Schutzbereich dieser Strafvorschrift erstreckt sich nur auf Daten, die gegen unberechtigten Zugang 
besonders gesichert sind. Dies sind nur solche, bei denen der Verfügungsberechtigte durch seine Sicherung sein 
Interesse an der Geheimhaltung der Daten dokumentiert hat (vgl. BGH, Beschluss vom 6. Juli 2010 -4 StR 
555/09, NStZ 2011, 154). Die Zugangssicherung im Sinne von § 202a Abs. 1 StGB muss darauf angelegt sein, 
den Zugriff Dritter auf die Daten auszuschließen oder wenigstens nicht unerheblich zu erschweren (vgl. BGH, 
Beschluss vom 6. Juli 2010-4 StR 555/09, NStZ 2011, 154; LK-StGB/Hilgendorf, StGB, § 202a Rn. 30; MüKo- 
StGB/Graf, StGB, § 202a Rn. 35; Rübenstahl/Debus, NZWiSt 2012, 129, 131). Damnter fallen insbesondere 
Schutzprogramme, welche geeignet sind, unberechtigten Zugriff auf die auf einem Computer abgelegten Daten 
zu verhindern, und die nicht ohne fachspezifische Kenntnisse überwunden werden können und den Täter zu einer 
Zugangsart zwingt, die der Verfügungsberechtigte erkennbar verhindern wollte (vgl. BT-Drucks. 16/3656 S. 10). 
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Schließlich muss der Zugangsschutz auch gerade im Zeitpunkt der Tathandlung bestehen (vgl. MüKo-StGB/Graf, 
StGB, § 202a Rn. 20). Ob diese Voraussetzungen in den der Verurteilung zugrunde liegenden Fällen gegeben 
sind, vermag der Senat anhand der unvollständigen Feststellungen im Urteil nicht abschließend zu beurteilen. 
Zugleich kann nicht ausgeschlossen werden, dass das Landgericht der vorgenommenen Rechtsanwendung, die 
nicht näher erläutert wird (UA S. 13), ein fehlerhaftes Verständnis zugrunde gelegt hat. Es fehlt in den Urteils¬ 
gründen eine hinreichend genaue Darstellung der Wirkweise der von dem Angeklagten bereitgestellten Schad¬ 
software, welche die Benennung der im konkreten Einzelfall umgangenen Zugangssicherung erfasst. Der pau¬ 
schale Verweis auf deren Bestehen reicht dafür ohne nähere Darlegung nicht aus, denn eine revisionsgerichtliche 
Kontrolle der eingangs genannten Voraussetzungen ist nur auf der Grundlage einer ausreichend deskriptiven Dar¬ 
legung der konkreten tatsächlichen und technischen Umstände möglich. Die insoweit bestehende Lücke lässt sich 
durch die Feststellungen auch in ihrer Gesamtheit nicht schließen. Flinzu kommt, dass das Landgericht zwischen 
den Begrifflichkeiten der Firewall und des Virenschutzprogrammes nicht erkennbar differenziert hat, wodurch 
unklar bleibt, ob es die technischen Voraussetzungen der Zugangssicherung in tatsächlicher Flinsicht zutreffend 
bewertet hat. Während es zunächst nämlich darauf abstellt, der Trojaner sei so konzipiert gewesen, die vorinstal¬ 
lierte Firewall bestimmter Betriebssysteme zu umgehen (UA S. 3), findet sich im Widerspruch dazu an späterer 
Stelle der Urteilsgründe die Feststellung und Wertung, die vom Angeklagten bereitgestellte Schadsoftware sei 
durch die Virenprogramme der 327.379 Nutzer nicht erkannt worden (UA S. 4). Unter Zugrundelegung der zu 
der Schadsoftware zuletzt getroffenen Feststellungen käme eine Firewall als tatbestandsmäßige Schutzvorrich¬ 
tung bereits dem Grunde nach nicht in Betracht. (...) Die dargelegten Rechtsfehler führen insgesamt zur Aufhe¬ 
bung des Urteils. Aufgrund desaufgezeigten Widerspruches und um dem neuen Tatrichter zu ermöglichen, um¬ 
fassend stimmige eigene Feststellungen treffen zu können, waren auch die Feststellungen aufzuheben (§ 353 
Abs. 2 StPO). Das neue Tatgericht wird Gelegenheit haben, sich mit den Flandlungsabläufen in technischer und 
zeitlicher Flinsicht umfassender als bislang auseinanderzusetzen. Erst die hinreichend genaue Feststellung der 
technischen Gegebenheiten ermöglicht die strafrechtliche Bewertung der in Frage kommenden als solche bereits 
zutreffend erkannten Straftatbestände.“ 

Die Entscheidung verdeutlicht, dass die §§ 202a, 303a, 303b StGB in ihrer jetzigen Fassung bereits im Tatbestand 
untauglich sind, die heutigen Erscheinungsformen der Botnetzkriminalität wirkungsvoll zu bekämpfen. Die An¬ 
forderungen, die die Normen an die Strafjustiz stellen, sind für das Tatgericht kaum zu erfüllen. Dieses ist nach 
derzeitiger Rechtslage gehalten, nicht nur die Wirkungsweise der Zugangssicherung der Geschädigten im Einzel¬ 
nen zumindest exemplarisch darzulegen, sondern auch die Veränderungen, die die Schadsoftware auf dem Opfer¬ 
system vorgenommen hat. Dies setzt voraus, dass solche Feststellungen überhaupt möglich sind. Verwenden die 
Täter jedoch eine Schadsoftware, die sich nach ihrem Einsatz selbsttätig löscht, fehlt es an dieser Möglichkeit. 

Die Notwendigkeit für das Tatgericht, im Urteil zumindest exemplarisch detailliert darzulegen, welche technische 
Funktionsweise die Zugangssicherung der Opfersysteme in tatsächlicher Flinsicht jeweils hatte, bringt für die 
Besitzer der infiltrierten IT-Systeme erhebliche Belastungen mit sich. Die informationstechnische Funktionsweise 
der Zugangs Sicherung kann durch Zeugenbeweis der Berechtigten kaum in die Flauptverhandlung eingeführt wer¬ 
den, da die meisten Opfer Laien sind und häufig selbst nicht wissen, ob und wie ihr System zum Tatzeitpunkt in 
technischer Flinsicht geschützt war. Dies gilt besonders bei infiltrierten Mobiltelefonen. 

Das wiederum bedeutet, dass zukünftig die Opfersysteme im Ermittlungsverfahren durch Sachverständige IT- 
forensisch zu untersuchen sind, um es dem Gericht später zu ermöglichen, in den Feststellungen deskriptiv die 
konkreten tatsächlichen und technischen Umstände des Zugangsschutzes darzulegen. Den Opfern der Infiltration 
entstehen neben dem Verlust von Daten und ihrer Privatheit aufgrund des Täterhandelns zusätzliche zeitliche 
Einbußen und Unannehmlichkeiten, weil sie den Sachverständigen der Staatsanwaltschaft (i. d. R. besonders aus¬ 
gebildete Polizeibeamte) eine Datenspiegelung ermöglichen müssen. Eine derartige Spiegelung des IT-Systems 
bedeutet zwingend, dass höchstpersönliche Daten, auch aus dem Kembereich, der Opfer ausgehändigt werden 
müssen. Auch wenn dies keine datenschutzrechtlichen Bedenken in sich birgt, da es sich um einen staatlichen 
Zugriff handelt, dürfte es aus Opfersicht gleichwohl zu einem Gefühl des Überwachtseins führen. 

Unter der Geltung des neuen § 202e StGB hingegen stellen sich keine derartigen Probleme mehr. Die Tatsache 
des unbefugten Benutzens der Opfersysteme wird sich regelmäßig durch die Auswertung der Täterinfrastruktur 
und unter Einschaltung der Intemetzugangsprovider anhand der IP-Adressen der Bots nachweisen lassen. Auf 
technische Zufälligkeiten kommt es nicht mehr an. Eine detaillierte Darstellung der technischen Einzelheiten der 
Infiltration im Ermittlungsverfahren, in der Anklageschrift und im Urteil ist nicht mehr notwendig. Dies führt zu 
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einer erheblichen Verfahrensbeschleunigung und zu einer Verkürzung der Auswertezeiten, ohne zu Lasten der 
Rechtssicherheit zu gehen. 

Soweit die EU-Richtlinie 2013/40/EU vom 12. August 2013 über Angriffe auf Infonnationssysteme die von Bot- 
netzen ausgehenden Gefahren thematisiert, dürfte formal kein Umsetzungsbedarf bestehen, da das Strafgesetz¬ 
buch, wie dargelegt, entsprechende Tatbestände enthält. Allerdings greifen diese Nonnen nicht lückenlos, um die 
in der Richtlinie beschriebene Bedrohung wirksam zu bekämpfen: 

„(...) Es besteht eine Tendenz zu immer gefährlicheren und häufigeren Großangriffen auf Informationssysteme, 
die für den Mitgliedstaat oder für bestimmte Funktionen im öffentlichen oder privaten Sektor oft unverzichtbar 
sein können. Diese Tendenz geht einher mit der Entwicklung immer ausgefeilterer Methoden, wie etwa der Schaf¬ 
fung und Verwendung von sogenannten Botnetzen, bei denen die kriminelle Handlung in verschiedenen Stufen 
erfolgt, wobei jede Stufe für sich eine ernsthafte Gefahr für die öffentlichen Interessen darstellen könnte. Diese 
Richtlinie zielt unter anderem darauf ab, Strafen hinsichtlich der Schaffung der Botnetze einzuführen, nämlich 
für die Einrichtung einer ferngesteuerten Kontrolle über eine bedeutende Anzahl von Computern, indem diese 
durch gezielte Cyberangriffe mit Schadsoftware infiziert werden. Sobald es eingerichtet ist, kann das infizierte 
Netz von Computern, die das Botnetz bilden, ohne Wissen der Computerbenutzer aktiviert werden, um einen breit 
angelegten Cyberangriff zu starten, der in der Regel erheblichen Schaden anrichten kann (...)“ 

Präzise Fallzahlen in diesem Kriminalitätsbereich liegen nicht vor. Es ist von einem großen Dunkelfeld auszuge¬ 
hen, da die Geschädigten in aller Regel nicht wissen, dass ihre Rechner infiziert und ferngesteuert werden. Nur 
dann, wenn es zu einem missbräuchlichen Einsatz von ausgespähten Daten kommt, erfolgt unter Umständen eine 
Mitteilung an die Strafverfolgungsbehörden. 

Die Erkenntnisse der nationalen und internationalen Strafverfolgungsorgane und Cybersicherheitszentren sowie 
diejenigen von IT-Wissenschaftlem belegen aber, dass die Fallzahlen und die daraus resultierenden Schäden deut¬ 
lich steigen. In der ersten Jahreshälfte 2015 wurden von Sicherheitsforschem täglich bis zu 60 000 Infektionen 
deutscher Systeme registriert 101 . Die polizeiliche Kriminalstatistik verzeichnet seit Jahren steigende Fallzahlen im 
Bereich der Delikte gegen die Integrität, Vertraulichkeit und Verfügbarkeit informationstechnischer Systeme und 
Daten. 

Eine Momentaufnahme der Dimension des Problems gibt das Auffmden der 14 Millionen Opferdatensätze im 
Jahre 2014. 

Weitere verlässliche Angaben über die Anzahl der infiltrierten Opfersysteme lassen sich aus der Analyse großer 
Botnetze gewinnen. 

Bereits im Jahr 2011 wurde der jährliche, weltweit von für Botnetze verantwortlicher Schadsoftware verursachte 
Schaden in einer Studie, die das Fraunhofer-Institut für Kommunikation, Informationsverarbeitung und Ergono¬ 
mie (FKIE) im Auftrag der Europäischen Agentur für Netz- und Informationssicherheit (ENISA) erstellt hat, auf 
rund zehn Milliarden US Dollar geschätzt. 

Den Medien sind für Deutschland Schadenssummen von 3,4 Milliarden Euro (DIW für 2014), über 54 Milliarden 
(Wirtschaftsberatungsgesellschaft KPMG für 2013/2014) bis hin zu 102 Milliarden Euro (Bitkom für 2013/2014) 
zu entnehmen. Aus Kreisen der Telekommunikationsprovider wird die Bandbreitennutzung des Internets durch 
Bot-Netze mit 80 Prozent beziffert. Auch hier dürfte von sehr hohen Schadenssummen auszugehen sein. 

Laut Angaben eines US-amerikanischen IT-Sicherheitsdienstleisters aus dem Jahr 2013 habe das Botnetz „Cha- 
meleon“ ab 2012 beispielsweise einen Schaden von rund sechs Millionen USD im Monat für die Werbebranche 
verursacht. Über dieses Botnetz verbreitete Schadsoftware habe automatisiert Klicks auf Werbebanner simuliert, 
wobei für jeden Klick eine entsprechende Vergütung für den Internetdienstleister festgelegt war. Von 14 Milliar¬ 
den Klicks auf ausgewählten Webseiten seien neun Milliarden auf dieses Bot-Netz zurückzuführen. 

Allein der Schaden, der für Internet-Werbetreibende durch das ZeroAccess-Bot-Netz verursacht worden sein soll, 
wurde Ende 2013 auf rund 2,7 Millionen US-Dollar monatlich beziffert. 

In den Jahren 2010 bis 2013 ermittelte die hessische Zentralstelle zur Bekämpfung der Intemetkriminalität ge¬ 
meinsam mit dem BKA in einem bundesweiten Verfahrenskomplex wegen einer Vielzahl von Erpressungen von 


10 ) Vgl. Bundesamt für Sicherheit in der Informationstechnik, Die Lage der IT-Sicherheit in Deutschland 2015, S. 30 
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Online-Shops mittels DDos-Attacken. Es konnten nach intensiven Ermittlungen fünf Beschuldigte identifiziert 
und vor Gericht gestellt werden, die in unterschiedlicher Zusammensetzung für die Erpressungen verantwortlich 
waren. Insgesamt konnten 40 Fälle aufgeklärt werden, in denen Betreiber von Webshops mit DDoS-Attacken 
bedroht oder tatsächlich angegriffen wurden. Die von den geschädigten Unternehmen auf die DDoS-Angriffe 
zurückzuführenden, geschätzten Umsatzeinbußen beliefen sich zusammen auf Beträge im mittleren sechsstelligen 
Bereich. Ein Unternehmen aus Flessen erlitt ein Schaden in Flöhe von ca. 65 000 Euro. 

Das Bundesamt für die Sicherheit in der Informationstechnologie geht in seinem Bericht „Die Lage der IT-Si- 
cherheit in Deutschland 2015“ davon aus, dass die Bedrohungslage durch Botnetze im Vergleich zum Vorjahr 
weiterhin kritisch und tendenziell steigend ist. 

Eine Veränderung oder Anpassung der Regelungen der §§ 202a, 303a, 303b StGB ist zur Lösung des Problems 
nicht geeignet, da diese Normen andere Rechtsgüter als die Vertraulichkeit, die Integrität und das ausschließliche 
Gebrauchsrecht an informationstechnischen Systemen schützen. Botnetzaktivitäten wie das Versenden von Spam 
oder das Generieren von Bitcoins greifen nicht zwingend in das Interesse des Verfügungsberechtigten an der 
unversehrten Verwendbarkeit von Daten oder in das Interesse der Betreiber und Nutzer am stömngsfreien Funk¬ 
tionieren ihrer Datenverarbeitung ein. Auch werden Daten nicht zwingend ausgespäht. Dies rechtfertigt es, die 
genannten Regelungen des StGB unverändert neben der neuen Strafnorm des § 202e StGB bestehen zu lassen. 

II. Gesetzgebungskompetenz 

Die Gesetzgebungskompetenz des Bundes folgt aus Artikel 74 Absatz 1 Nummer 1 des Grundgesetzes. 

III. Auswirkungen 

Durch die Einführung eines neuen Straftatbestands kann mehr Aufwand bei den Strafverfolgungsbehörden ent¬ 
stehen, dessen Umfang im gegenwärtigen Zeitpunkt nicht hinreichend genau abschätzbar ist. Im Übrigen wird 
das Vorhaben Bund, Länder, Gemeinden, die Wirtschaft und die Bürger nicht mit Mehrkosten belasten. Da sich 
der Gesetzentwurf auf Änderungen und Ergänzungen von Strafvorschriften beschränkt, sind Auswirkungen auf 
das Preisniveau, insbesondere auf das Verbraucherpreisniveau, die Umwelt oder Auswirkungen von gleichstel¬ 
lungspolitischer Bedeutung nicht zu erwarten. 


B. Besonderer Teil 

Zu Artikel 1 (Änderung des Strafgesetzbuches) 

Zu Nummer 1 (Inhaltsübersicht zu § 202e StGB) 

Es handelt sich um eine redaktionelle Folgeänderung im Flinblick auf die Einfügung des § 202e StGB-E (Num¬ 
mer 2). 

Zu Nummer 2 (§ 202e - neu - StGB) 

Die vorgeschlagene Regelung soll als neuer § 202e StGB in den Fünfzehnten Abschnitt (Verletzung des persön¬ 
lichen Lebens- und Geheimbereichs) des Besonderen Teils des Strafgesetzbuchs eingefügt werden. Für eine sys¬ 
tematische Regelung an dieser Stelle spricht, dass das geschützte Rechtsgut der Gewährleistung der Vertraulich¬ 
keit und Integrität informationstechnischer Systeme dem persönlichen Lebens- und Geheimbereich zuzuordnen 
ist. 

Zu Absatz 1 

Das Merkmal der Unbefugtheit als allgemeines Rechtfertigungselement entspricht dem in § 201 verwendeten 
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Begriff. Es stellt klar, dass eine Strafbarkeit bei wirksamer ausdrücklicher oder konkludenter Einwilligung aus¬ 
geschlossen ist. Dadurch ist es z. B. nicht strafbar, wenn Betreiber von Intemetseiten Cookies 11> verwenden und 
darauf, wie es datenschutzrechtlich geboten und üblich ist, hinweisen. Auch das Aufspielen von Softwareupdates 
o. ä. ist hierdurch von Strafbarkeit ausgenommen, ebenso wie z. B. das Aufspüren von Sicherheitslücken im EDV- 
System eines Unternehmens, soweit der „Hacker“ vom Inhaber des Unternehmens mit dieser Aufgabe betraut 
wurde. Auch sonst sozialadäquate Handlungen sind nicht „unbefugt“ im Sinne von § 202e StGB-E (zur Sozial¬ 
adäquanz bei anderen Delikten im 15. Abschnitt vgl. Fischer, StGB, 63. Auflage, Erläuterungen zu § 201). 

Durchaus erfasst sind hingegen beispielsweise Applikationen (Apps) für Endgeräte, die einen größeren Funktion¬ 
sumfang haben als in der jeweiligen Beschreibung oder Datenschutzerklärung angegeben, bei deren Installation 
die Nutzer mithin bewusst über die eingeräumten Zugriffsrechte getäuscht werden. 

§ 202e StGB-E hat erfüllt insoweit auch einen bedeutenden Zweck im Zivilrecht, indem die Funktion eines 
Schutzgesetzes im Sinne von § 823 Absatz 2 BGB eingenommen und damit auch zivilrechtlich ein besserer Ver¬ 
braucherschutz erreicht wird. 

Auf die Beschränkung des Tatbestandes auf „fremde“ informationstechnische Systeme wurde bewusst verzichtet, 
um auch Fälle zu erfassen, in denen z. B. ein Arbeitnehmer ein mobiles IT-System des Arbeitgebers zur alleinigen 
Benutzung erhält und der Arbeitgeber dieses heimlich infiltriert hat, um unbefugt in den persönlichen Lebens¬ 
und Geheimbereich des Arbeitnehmers einzudringen. Auch sollen z. B. Hotelgäste bei der Benutzung für sie 
fremder IT-Systeme vor Infiltration der von ihnen verarbeiteten Informationen durch den Eigentümer des Systems 
geschützt werden. 

Die Anwendungspraxis des seit 1953 geltenden § 248b StGB zeigt, dass grundsätzliche Probleme durch die Ein¬ 
führung eines weiteren Falles des strafbewehrten Verbots der unbefugten Benutzung von Sachen in das Strafge¬ 
setzbuch nicht zu erwarten sind. 

Das informationstechnische System ist in Absatz 6 legaldefmiert. Es sollen nur solche Geräte, Anlagen etc. ge¬ 
schützt sein, die objektiv eine besondere Bedeutung für den Berechtigten haben oder deren Fremdnutzung beson¬ 
ders gefahrdungsintensiv ist und die damit in herausgehobener Weise schutzwürdig sind. Damit sind z. B. nicht 
vernetzte elektronische Unterhaltungsgeräte, Spielzeug oder Taschenrechner aus dem Tatbestand ausgeklammert. 

Zugleich stellt die Bagatellklausel des Absatzes 1 Satz 2 eine mit derjenigen des § 201 StGB inhaltsgleiche Tat¬ 
bestandseinschränkung dar. Nach dieser ist die Tathandlung nur strafbar, wenn sie geeignet ist, berechtigte Inte¬ 
ressen eines anderen zu beeinträchtigen. Ob es sich dabei um materielle oder ideelle, private oder öffentliche 
Interessen handelt, ist gleichgültig, sofern sie nur vom Recht als schutzwürdig anerkannt sind oder diesem jeden¬ 
falls nicht zuwiderlaufen. Dass der Betroffene tatsächlich in seinen Interessen beeinträchtigt wird, ist nicht erfor¬ 
derlich; vielmehr genügt es schon, dass die Tat dazu geeignet ist. 

Durchgreifende verfassungsrechtliche Bedenken gegen die Bagatellklausel unter dem Aspekt des Bestimmtheits¬ 
grundsatzes (Artikel 103 Absatz 2 des Grundgesetzes) bestehen nicht. Sie ist in § 201 StGB in derselben Formu¬ 
lierung wie in § 202e StGB-E unverändert in Kraft seit dem 26. August 1990. Obwohl das BVerfG sich bereits 
im Jahr 2010 mit § 201 StGB befasst hat, wurde die Bagatellklausel nicht beanstandet 12 ! 

Ein Datenverarbeitungsvorgang (DV-Vorgang) ist ein Arbeitsablauf, der durch eine elektronische Verarbeitung 
zu einem konkreten Ergebnis führt l3) . Auf Grund bestimmter Eingabedaten (Input) muss mit dem im Computer 
gespeicherten Programm - ggf. ergänzt durch weitere Eingaben zur Steuemng — ein Arbeitsergebnis erzielt und 
ausgegeben werden (Output). 

Da auch elektronisch femzusteuernde Anlagen und Einrichtungen geschützt werden sollen, auf denen selbst keine 
DV-Vorgänge im vorbeschriebenen juristischen Sinne ablaufen (z. B. ein femwartbares Schleusentor, das durch 
einen schlichten Öffnen/Schließen-Befehl reagiert, ohne dass dazu ein Computerprogramm abläuft), wurde zu¬ 
sätzlich der Begriff des informationstechnischen Ablaufs aufgenommen. Nach der Legaldefmition des § 2 des 
Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz) ist damit jede Verarbeitung 


’*) Ein Cookie (engl. "Keks") ist eine Textinformation, die eine besuchte Website (hier "Server") über den Browser im Rechner des Betrachters 
("Client") platziert. Der Client sendet die Cookie-Information bei späteren, neuen Besuchen dieser Seite mit jeder Anforderung wieder an den 
Server. 

12 ) Vgl. BVerfG NJW 2011,1863 

13 ) Vgl. Lenckner/Winkelbauer CR 1986, 654, 658 f; Fischer, StGB, § 263a Rn 3. 
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oder Übertragung von Infonnationen durch technische Mittel gemeint. Dies ist weitergehend als der Begriff des 
DV-Vorgangs. Es soll sichergestellt werden, dass der strafrechtliche Schutz von Automatisierungs-, Prozesssteu- 
emngs- und Prozessleitsystemen (Industrial Control Systems, ICS) gewährleistet wird, um den Rechtsrahmen für 
Industrie 4.0 zu verbessern. 

Aus diesem Grunde erstreckt sich der Schutzbereich von § 202e StGB-E nicht lediglich auf Datenverarbeitungs¬ 
anlagen oder Datenverarbeitungen wie §§ 303a StGB oder 303b StGB, sondern geht darüber hinaus. 

„Zugang“ ist die Möglichkeit, ohne weitere Zwischenschritte einen IT-Vorgang auszulösen oder zu beeinflussen. 
Gemeint ist damit sowohl der physische, unmittelbare Zugriff als auch derjenige über Datenleitungen. Der Zugang 
ist erlangt, wenn das System infiltriert, also eine etwaige Sperre überwunden und der Täter in der Lage ist, Ein¬ 
gaben unmittelbar vorzunehmen. 

Es wird nicht verkannt, dass die Regelung des Absatzes 1 einen weiten Anwendungsbereich hat. Die Bagatell- 
klausel sorgt jedoch dafür, dass nicht strafwürdige Fälle von dem Tatbestand zuverlässig ausgeschlossen werden. 
Ferner sorgt die Begrenzung auf bestimmte IT-Systeme in Absatz 6 dafür, dass nicht schutzwürdige Systeme wie 
z. B. eine Modelleisenbahn von der Norm nicht erfasst werden. 

Die Anwendungspraxis des geltenden Rechts hat gezeigt, dass jede weitergehende Einschränkung des Tatbestan¬ 
des dazu führt, dass ein hinreichender strafrechtlicher Schutz des Grundrechts auf Gewährleistung der Vertrau¬ 
lichkeit und Integrität informationstechnischer Systeme nicht erreicht werden kann. Die mangelnde Effektivität 
der geltenden Normen lässt sich durch die trotz der hohen Zahl betroffener Opfer auffällig niedrigen Verurtei¬ 
lungszahlen 14) empirisch belegen. 

Die Verhängung von Strafe als ultima ratio des Staates zur Verhütung von Sozialschäden ist dann nicht am Platze, 
wenn das Opfer keinen Schutz verdient und keines Schutzes bedarf, weil es von ohne weiteres verfügbaren Selbst¬ 
schutzmöglichkeiten ohne triftigen Grund keinen Gebrauch gemacht hat. Genau diese Selbstschutzmöglichkeit 
besteht heutzutage angesichts der Komplexität von IT-Systemen einerseits und derjenigen von Schadsoftware 
andererseits eben nicht mehr. i5) 

Zu Absatz 2 

Absatz 2 enthält eine höhere Strafdrohung für gefährdungsintensivere Begehungsweisen. 

Zu Absatz 3 

Die Strafzumessungsvorschriften des Absatzes 3 finden sich in ähnlicher Weise z. B. in § 263 Absatz 3 StGB. 

Nummer 3 ist eine deliktsspezifische Regelung, die dem Umstand Rechnung trägt, dass Industrie- oder ähnlich 
bedeutsame Anlagen heutzutage vielfach über Internet angreifbar sind. 

Zu Absatz 4 

Absatz 4 enthält eine Qualifikation, da die auch im BSI-Gesetz legaldefinierten Kritischen Infrastrukturen eines 
besonders intensiven strafrechtlichen Schutzes bedürfen. 

Zu Absatz 5 

Die Versuchsstrafbarkeit ist notwendig, um z. B. beim Einsatz nicht offen ermittelnder Polizeibeamter oder ver¬ 
deckter Ermittler dennoch zu einer Strafbarkeit des Täters zu gelangen. Der Einsatz von derartigen Ermittlungs¬ 
methoden ist bei Intemetermittlungen von hoher praktischer Relevanz. In solchen Fällen wird jedoch häufig ein 
untauglicher Versuch gegeben sein. Die Legitimationsgrundlage für die Strafbarkeit des untauglichen Versuchs 
liegt in der durch das Ansetzen zur Tat, also einer objektiven Betätigung, zum Ausdruck kommenden Missachtung 
des Normbefehls als Rechtsfriedensstömng. 


14 ) Vgl. Strafverfolgungsstatistik 2013 (Statistisches Bundesamt, Fachserie 10, Reihe 3): 30 Verurteilungen wegen § 202a StGB, 32 wegen § 303a 
StGB und 26 wegen § 303b StGB 

15 ) Vgl. BVerfG a.a.O. 
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Zu Absatz 6 

Wie bereits oben dargelegt, sollen bestimmte, nicht schutzwürdige IT-Systeme vom Tatbestand ausgenommen 
werden. Die Eignung zur Verarbeitung personenbezogener Daten und die Nutzung als Steuerungskomponente für 
bestimmte Anwendungen begründen die Schutzwürdigkeit des Systems. 

Der Begriff der „Kritischen Infrastruktur“ ist mit demjenigen in § 2 Absatz 10 BSIG identisch. Eine kritische 
Infrastruktur im Sinne des § 202e StGB-E kann daher nur eine solche sein, die die Kriterien der Verordnung zur 
Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz vom 22. April 2016 (BGBl. I 2016, 958) erfüllt, 
also z. B. eine Anlage, von deren Versorgungsleistung jeweils 500 000 oder mehr Bürger abhängig sind. 

Zu Absatz 7 

Durch diese Regelung soll die Strafverfolgung bei Fällen im Nähebereich begrenzt werden, um bestimmte per¬ 
sönliche Beziehungen durch Eingreifen von Amts wegen nicht zu stören. 

Zu Nummer 3 (§ 205 Absatz 1 Satz 2 StGB) 

Angesichts des im Einzelfall unter Umständen geringeren Unwertgehalts von Taten nach den Absätzen 1 und 2 
ist § 202e StGB-E in den Kreis der relativen Antragsdelikte nach § 205 Absatz 1 Satz 2 StGB aufzunehmen. Ein 
Einschreiten von Amts wegen bei besonderem öffentlichen Interesse an der Strafverfolgung soll ermöglicht wer¬ 
den. 

Zu Artikel 2 (§ 374 Absatz 1 Nummer 3a StPO) 

Es handelt sich um eine Folgeänderung der Strafprozessordnung. Aufgrund seiner Nähe zu anderen in § 374 Ab¬ 
satz 1 StPO genannten Delikten, die dem Schutz höchstpersönlicher Rechtsgüter dienen, soll auch § 202e StGB- 
E in den Kreis der Privatklagedelikte aufgenommen werden. Wie die in § 374 Absatz 1 StPO genannten Vergehen 
kann eine unbefugte Benutzung eines IT-Systems, ein digitaler Hausfriedensbruch, in den Fällen der Absätze 1 
und 2 die Allgemeinheit mitunter so wenig berühren, dass kein öffentliches Interesse an der Strafverfolgung be¬ 
steht. In Durchbrechung des Offizialprinzips soll in einem solchen Fall ausnahmsweise der Verletzte bzw. dessen 
gesetzlicher Vertreter oder ein sonstiger Strafantragsberechtigter die Strafverfolgung als Privatkläger selbst be¬ 
treiben dürfen. 

Mit der Ausgestaltung der Absätze 1 und 2 als Privatklagedelikt soll der Notwendigkeit Rechnung getragen wer¬ 
den, einer Überlastung der Strafverfolgungsbehörden durch Bagatellfälle vorzubeugen. 

Ein Wertungswiderspruch zu den erhöhten Mindeststrafen der Absätze 3 und 4 ist hierin nicht zu sehen, weil der 
Unwertgehalt der Grundkonstellationen in den ersten beiden Absätzen sich erheblich vom Unwertgehalt der Qua¬ 
lifikation und besonders schweren Fälle unterscheidet. 

Zu Artikel 3 (Inkrafttreten) 

Die Vorschrift regelt das Inkrafttreten. Das Gesetz soll am Tag nach der Verkündung in Kraft treten. 
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Anlage 2 


Stellungnahme der Bundesregierung 

Die Bundesregierung nimmt zu dem Gesetzentwurf des Bundesrates wie folgt Stellung: 

Die Bundesregierung teilt die Auffassung des Bundesrates, dass Botnetz-Kriminalität auch mit den Mitteln des 
Strafrechts bekämpft werden muss. Sie wird angesichts neuerer Entwicklun-gen im Bereich der Botnetz-Krimi¬ 
nalität im weiteren Verfahren prüfen, inwieweit gesetzgebe-rischer Handlungsbedarf besteht und gegebenenfalls 
einen eigenen Gesetzentwurf vorlegen. 



